安全信息评估范文
发布时间:2023-10-10 17:15:20
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇安全信息评估范例,将为您的写作提供有力的支持和灵感!
篇1
保证信息安全不发生外泄现象,是至关重要的。可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:
中国保证信息安全工作经历了三个时期。第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。
1 需要解决与注意的问题
信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。
2 安全检测标准
2.1 CC 标准
1993年6月,美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称 CC,它是国际标准化组织统一现有多种准则的结果。CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC标准主要还是一套技术性标准。
2.2 BS 7799标准
BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则;BS7799-2∶2002 以 BS 7799-1∶1999为指南,详细说明按照 PDCA 模型,建立、实施及文件化信息安全管理体系(ISMS)的要求。
2.3 SSE-CMM 标准
SSE-CMM(System Security EngineeringCapability Maturity Model)模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型。
3 网络安全框架考察的项目
对网络安全进行考察的项目包括:限制访问以及网络审核记录:对网络涉及的区域进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;网络框架:设计适宜的拓扑结构;合乎系统需求的区域分界;对无线网接入方式进行选择方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。对网络设置密码:在网络运输过程中可以根据其特点对数字设置密码;在认证设备时对比较敏感的信息进行加密。
4 安全信息检测办法
4.1 调整材料和访问
调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,分析设备的安全性能,而且注意把自己的实际体会纳入网络安全的检测中。
4.2 工具发现
工具发现是利用扫描器扫描设备上的缺陷,发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机,利用已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。
4.3 渗透评估
渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果,从而进行预防。渗透评估的关键是经过辨别业务产业,搭配一定手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。
我国信息安全要想得到保证,需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量,将对中国信息安全结论的量化提供强有力的帮助,给我国所做出的重要决策实行保密,对中国筹划安全信息建设以及投入,甚至包括制定安全信息决策、探究与拓宽安全技术,都至关重要。因而,制定我国信息安全检测办法,是一项不容忽视的重要工作。
【参考文献】
[1]曹一家,姚欢,黄小庆,等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备,2011,31(6):1-5.
[2]焦波,李辉,黄东,等.基于变权证据合成的信息安全评估[J].计算机工程,2012,38(21):126-128,132.
篇2
Information Technology Application in Security Assessment
Ding Yong-jing
(RiverZhenjiang City in East China Institute of Safety Science Research limited liability Company JiangsuZhenjiang 212000)
【 Abstract 】 along with the fast development of world economy, we have entered the information and the digital era, in this context, do a good job in information security management and assessment is particularly important, and people pay more and more attention. In this paper, starting with the question, which according to the information safety problems in the process of analysis, and focuses on the discussion of the information technology in the safety assessment application.
【 Keywords 】 information technology;security evaluation;problems of application; analysis
0 引言
安全评估是维护社会和谐稳定与市场健康发展的重要工作之一,是当前社会发展过程中必须要重视的问题,对此,相关的部门就要充分的重视起来,尤其是国家的信息安全测评中心,它需要结合当前安全评估中存在的问题进行分析,进而采取有效的措施进行管理。而在这方面,我们就要注意信息技术的应用,21世纪是信息化的时代,信息技术渗透到了社会各个行业和部门,由此而构成了一个体系庞大的信息网络,在这种情况下,我们的安全评估就不可避免的要处理好信息管理和监测的问题,对此需要加强和信息技术的整合与研讨应用。
1 对于安全评估的基本认识
对于安全评估来说,通常就是相关的机构通过相应的信息安全标准来进行信息安全的监督和管理,进而判断其达到的安全信用等级,这是当前安全评估的重要工作之一,它对于规范市场秩序,促进社会和谐发展方面有着不可忽视的作用。对此,必须引起我们的重视,那么,在当前的情况下,我们应该如何更加全面的认识安全评估呢?针对这一问题,我们就要从基本的概念入手,安全评估是一个系统化的过程,它涉及到一系列的问题,其中不仅包括基本的信息技术安全测试,同时还包括了信息的真实和有效性分析。良好的信息安全评估,可以有效的促进信息科研技术的提升,同时保证国家对于企业信息的掌握和了解,避免市场违规以及违纪情况的出现,进而严重的干扰了我们经济建设的正常开展。总的来说,安全评估构建起了有效的信息运营管理系统,能够更好的保护用户、企业、国家相关部门的切身利益,最终实现信息安全保障体系的建立,维护好国家的信息安全,为其提供多样化的服务。
2 信息安全测评标准在安全评估中的应用分析
在当前信息技术和科技水平日益提高的情况下,当前社会经济的发展已经进入了数字化和信息化的时代,在这种时代背景下,我们实现良好的信息化管理也就显得尤为迫切,其中政府相关部门就要重点做好各方面的安全评估和监督管理工作。
重点问题就是在信息化时代的背景下充分的利用信息技术的优势来进行各项管理,因为当前的信息技术已经渗透到各行各业,我们的安全评估自然的也就需要依靠有效的信息技术来进行管理,通过信息安全评估技术来构建安全评估体系。
那么,我们就要实现信息安全测评标准在安全评估中的有效应用,因为安全的评估必须要有量化的标准,对此就需要借助信息技术的相关知识来进行分析,安全评估有哪几个方面所构成,他们具有什么样的特征,进而才能制定出规范化的标准来实现良好的管理。
对于安全评估来说,我们依靠什么样的标准,如何对更好的其安全性进行测评,是目前世界各国都普遍所面临的问题。对此,国家信息安全测评中心提出,安全评估工作的顺利开展,需要有良好的信息技术安全测评标准和技术作为前提和重要保证。对于信息测评技术来说,它在我国也经历的较长时期的发展,在这个过程中形成了相应的信息安全评估准则和标准,因此我们就要充分的利用好这一检测和评估标准来进行更好的管理。
对于政府管理工作来说,高度重视信息安全和评估管理工作,是为了更好的保障信息化进程的发展,进而促进信息技术产业和企业的优化发展,我们进行有效的安全评估是政府确保信息安全的重要途径和手段,在这方面我国也成立了专门的“中国信息安全产品测评认证中心”,进而开展起对信息的安全性测试和评估,对信息化时代下的网络和信息系统进行信息安全风险评估,进而实现严格的监督,积极消除信息产业发展中的所存在的安全隐患,为政府部门、国家基础信息网络和重要信息系统提供信息安全保障服务。
3 关于分级评估与非分级评估的应用分析
信息技术在安全评估中的应用,需要我们构建起良好的评估管理体系,其中分级评估和非分级评估就是按照不同的信息技术安全等级来进行的评估管理。虽然,我们在对信息产业的安全评估过程中不存在严格的分级和非分级管理,但是因为不同企业发展的特点,其安全保证能力是不同的,因此政府在进行信息安全评估和监管的过程中也就要考虑到这一因素,不能简单划一的进行管理,而应该从实际出发,构建较为完善的安全评估体系和等级。
我们知道,信息产品的安全保证能力是不同的,它会受到环境等一系列因素的制约,同时不同环境对于安全保证的要求各有差异,只要满足环境的要求即可不必追求过高的安全目标。因此,我们就要运用科学有效的信息技术来进行分析,根据评估结果所反映出来的产品安全保证能力进行判别,进而采用分级评估的办法来进行管理。
这一问题的出现,是和我们当前国内信息安全产业发展所处的阶段密切联系在一起的,因为根据我们的相关调查和研究发展,当前较多数企业的信息安全黄璨也发展还处于低级阶段,一些企业在生产和运营的过程中缺乏有效的产品化和全面的信息安全保障意识,其中较大多数的产品安全性通常主要的集中于以安全技术为核心的低保证水平上。与此同时,一个重要的原因就是因为国家相关部门在进行安全评估的时候,单纯的认为其评估只是较为简单的测试。
在未来一段时间里,随着科学技术的快速发展,产业的安全保障工作也必将大力的发展起来,其中信息安全标准和质量随之开始提升。我们的安全评估就要依靠信息技术来优化评估管理系统,在这个过程中,相应的分级和非分级标准也将取消,进而给安全评估赋予了新的要求和标准。对此,我们的信息技术检测也就需要不断创新和改善,从而更好地服务于安全评估管理工作。
4 关于CC评估技术在安全评估中的应用分析
对于CC评估来说,它是一种很好的信息安全评估准则,实现它的有效应用,对于促进我们安全评估工作的发展意义重大。对于政府部门来说,尤其是中国信息安全测评中心来说,它作为第三方的独立测评机构在进行安全评估的时候,就要注重依靠CC评估准则来开展评估业务。对于当前的CC评估技术来说,它的级别已经有了全面提升,其中主要涵盖了EAL1级到EAL4级和等各个级别的增强级。与此同时,关于智能卡的相关测评已经达到EAL5级,而在其他一些安全产品的评估和检测上,例如防火墙以及入侵检测系统上也已经有了全面的提升,在目前情况下已经达到了EAL3级,在这个过程中,它已经实现了长期的应用,并在安全评估和监管的过程中积累了相当丰富的经验,为我们的按去哪评估提供了有效的技术支持和标准支持。
从更大的范围来看,尤其是国际间的发展趋势表明, CC作为具有广泛影响力和可信度的标准,在当前安全评估中已经成为重要的途径和首要方法之一。我们在进行安全评估的时候,依据GB/T 18336-2001(CC v2.1)开展CC评估,其相关的评估做法要按照国际上的统一方法开展进行,进而使得其更加规范和科学,只有这样,才能够进一步的提升信息安全评估技术实力和影响力,进而促进整个产业的健康发展。而对当前中国背景下的安全评估工作,我们还要注意它和我们社会发展的特点相结合,不断的探索和改进,最终实现其评估技术的革新和完善。
5 依靠新兴信息技术深化安全评估测评工作
在数字化和信息化时代飞速发展的进程下,科学技术的发展也无时无刻的进行着,对此我们的安全评估也面临着新的环境和要求。作为相关评估和检测部门来说就要加强改革和探讨,运用新兴的信息技术来实现新的发展。与此同时,我们依靠新兴信息技术来进行安全评估就要更加注重对新兴信息技术的理论研究和实践分析,进而更好的掌握相关的评估技术,实现有效的应用。除此之外,我们还需要大力的加强和信息技术研究中心的合作。由此可见,在进行信息安全评估的过程中,加强和信息技术研发企业的合作是尤为重要的,我们要充分的依靠其先进的技术力量来谋求更好的发展。
6 结束语
在当前信息技术快速发展的进程中,我们的发展环境已经发生了重大的改变,其中信息技术实现了广泛的应用,在这个过程中,我们如何更好地实现信息安全评估和监督也就成为了重要的问题。对此,作为相关的信息安全监管部门就要结合当前社会发展的特点和存在的安全监管问题进行分析,从而寻求科学有效的信息技术来促进安全评估的顺利开展。当然,在这个过程,信息技术的应用还需要做好一系列的工作,要从实际评估和检测的需要出发,以便实现更加高效的应用,最终推动安全评估工作的开展,提高安全评估技术实力和综合影响力。
参考文献
[1] 李守鹏,吴希唐.信息技术安全评估中的重要概念[J].技术论坛,2008,(9).
[2] 李涛.网络安全概论[M].网络安全,2004,(5).
[3] 郝文江,李玉霞.基于计算机技术对信息的保护[M].计算机技术,2007(12).
[4] 莫笑丽,史清华.一种新型的主动安全管理[J].四川科技,2005,(7)
[5] 胡华平,刘波.网络安全脆弱性分析与处置系统的研究与实现[J].科技资讯,2004,(9).
[6] 刘冠兵.关于信息安全技术的分析及在安全评估中的应用研究[J].信息技术,2009,(8).
篇3
摘 要:近年来食品安全事件频发,食品安全问题已经成为广大群众最关心的话题,食品的安全监管也无疑成为社会关注的焦点。本文正是以餐饮安全监管评估体系为切入口,科学地分析了我国餐饮安全监管评估体系面临的主要问题,餐饮安全监管评估体系创新的主要方面,以及餐饮安全监管评估体系创新的实践,最终为餐饮安全监管评估体系提出了创新思路。
关键词 :食品安全;监管评估;创新
中图分类号:R155文献标识码:A文章编号:1673-260X(2015)03-0194-02
1 餐饮安全监管评估体系面临的主要矛盾和问题
1.1 餐饮企业数目多、分布分散、监管难度大
随着我国经济社会的快速发展,人们的生活水平不断提高,城镇化水平不断加大,越来越多的人到餐馆里就餐,因此餐馆行业不断发展壮大。进行国家注册的餐饮行业越来越多,这就出现了各式各样的餐饮企业,冷热饮、大排档、食堂、农家餐、夜宵等,形成了形式多样、种类繁多的餐饮市场发展新局面。在为人们的选择提供了更多的便利的同时,也提升了消费者的消费水平。
然而事物都具有双面性,由于餐饮企业多以城市的中心地带及人流量较大的商业中心或景点为聚居点,同时又星罗棋布地分布于城市空间,餐饮企业的蓬勃发展也给食品安全部门对餐饮行业的监管带来了巨大的困难。
1.2 餐饮设施、器械简陋陈旧
由于我国餐饮行业的发展起步比较晚,再加上对餐饮行业的管理还存在着不足,一些中小餐饮企业特别是一些小摊小贩,多利用陈旧的设备、设施进行“创业”。他们的经营场所多为一些老旧的房屋或临时搭建的露天篷,这样的餐饮环境不仅卫生条件差,餐饮食品的卫生安全也难以得到保障。当出现一些高峰期时,就餐的人很多,一些碗筷用别人吃过的,简简单单用水冲洗一下即可,用的水也是自来水,甚至水的渠道也很不明,这也是我国传染病传播的主要途径。即使一些餐饮企业配备了保鲜、保洁、消毒等器具,也只能成为餐饮企业的装饰品,因为它们仅仅是摆设,从来不用,仅仅是告诉顾客放心食用,岂不知这也算对顾客的欺骗。大多数餐饮企业根本没有专门的原料的加工、清洗、刀切、贮存、烹饪、售出等的独立空间,全在同一单间中操作,质量安全无法保证。
1.3 人们对食品安全的认识及意识缺乏
大多数餐饮行业的工作人员素质较低,缺乏职业道德,它们仅仅对于利润、工资感兴趣,甚至为了赚钱使用一些危害性食料,包括使用地沟油和廉价的食材等,给食用者造成了一定的危害。此外,这些人的食品安全法律意识淡薄,仅仅凭借经验进行经营,无法真正养成良好的卫生习惯。大部分小型餐饮行业的工作人员穿着随便,没有统一的服装,并且没有行之有效的规章进行管理,在原料采购时不索要发票,也不进行台账记录,食品加工过程中也不注意生与熟的安放,也不考虑食品之间的交叉感染。综上所述,人们对食品安全的认识不足及意识缺乏,给食品卫生安全及监管带来了困难。
2 餐饮安全监管评估体系创新的主要工作
2.1 探索创新宣传教育机制
宣传教育机制始终是餐饮安全监管评估体系创新工作的基础,要通过多方位、多角度、立体式的方式进行宣传教育,充分利用媒体和网站,包括电视台、广播、报纸、网络等,对食品安全进行大力宣传,也可以采取现场咨询、专家讲演、宣传下乡等手段,深入宣传我国食品卫生安全方面的法律法规,对群众进行深刻教育,增强他们的食品安全意识,让他们认识到食品安全的重要性,自觉抵制一切危害自身安全的食品问题。最终让人民群众成为遏制食品安全问题的主力军,坚决抵制无食品安全保证的餐饮企业,让他们在社会中无法立足,努力营造出人人对健康负责的食品安全气氛。此外,还要对餐饮人员进行培训教育,让他们懂得我国的食品安全法规,自觉产生安全责任意识,使之能够安全负责地做好餐饮管理工作,最终提升餐饮行业人员的整体素质,为餐饮安全监管评估体系创新打下坚实基础。
2.2 探索创新工作推进机制
探索创新工作推进机制能够有效地推进餐饮安全监管评估体系的创新。通过打开餐饮安全信息共享的通道,积极构建资源共享的平台,保证各方的横向联动,密切各部门的沟通和协作。通过加大对食品行业的监督打击力度,形成监督打击合力,最终形成强大的监督管理局面。
此外,还可以利用网络进行食品安全监督,通过对网络的健全完善,把网络打造成为食品安全监督的“顺风耳”,使之成为治理食品安全的重要手段。同时,要加强群众监督的作用,切实对餐饮行业进行监督指导,增加他们的诚信意识,使其遵守餐饮行业的法律法规观念,打造一个好的餐饮行业形象。
2.3 探索创新基础保障机制
把培养监督餐饮行业安全的人才队伍,作为未来工作的重中之重,把行政监管与技术监督的工作落到实处。同时,对餐饮行业监督机构进行改革,优化人才队伍,灌输监督管理的新鲜概念,提升他们执行力,不断补充后备人才队伍,提升餐饮监管系统的综合能力和执行水平,为餐饮安全提供强大保证。
同时也要积极引用科学技术,利用高科技设备和手段,行之有效地参与餐饮行业安全监督检查,做到检查严格、监管有效、执法合理、奖惩分明,为全力做好搭建餐饮安全监管评估体系的创新打下坚实基础。
3 餐饮安全监管评估体系创新的实践
3.1 探索创新综合惩处机制
3.1.1 建立能力评价机制
我国颁布的《食品安全法实施条例》明确说明:地方行政管理人员要为餐饮行业安全监督管理的能力建设提供强有力的保障。目前,我国的餐饮行业的设施设备都比较落后,基础比较薄弱。他们面临的主要困难是缺乏安全管理能力的人才,缺乏用于检查的设备设施,我们都知道要做好餐饮行业的安全检查,就必须有先进的检查设备,而要想扭转以上问题,就是要加大经费的投入,而缺乏经费也是餐饮安全监管的困难之一。
目前国家已经启动了对餐饮安全监管的力建设标准项目,对餐饮安全检查设备提出了基本标准,并加大了对餐饮安全监管设备的支持力度,这为我国餐饮企业向更好的方向发展提供了良好条件。今后监管负责人将逐级地对监管能力进行上报,对监管能力不合格者进行严格检查。
3.1.2 实行信用奖惩机制及典型示范机制
对于我们国家来讲,信用是稀有且珍贵的资源。如何健全和完善科学的餐饮企业信用评价机制,是确保我们国家餐饮行业安全的当务之急。
首先通过网络对各类餐馆开展网络信用征集并系统地统计起来,然后对它们进行科学的评级,对于一些非常差的企业进行警告并予以惩处,并督促它们进行整改,同时还要对餐饮企业进行网络披露,保证广大群众能全面地对餐饮企业信用状况进行客观、全面的认识。这样消费者既可以合理地选择餐馆用餐,也有助于对餐饮安全的监管,更能提高餐饮企业的自律性。
我国现在餐饮行业的集成化、产业化还不高,面临着严重的散、低等状况。因此要改变以上状况,就必须采取措施进行重点突破,采取餐馆示范工程,推动餐饮安全工作,使其成为示范的培育基地,充分发挥示范及引领作用,并成为餐饮安全监管评估重要指标。
3.1.3 努力推进责任追究机制
没有责任就没有工作的动力,对于餐饮安全监管来讲,责任尤为重要。《国家食品安全法》已经明文规定,地方政府对食品安全要负总责,监管部门自身责任如果没有履行,也要受到处罚,餐饮企业是安全事故的第一责任人。现在我国餐饮安全管理受到多种因素的制约,责任制并没有完全的落实。所以,必须根据现实状况重新对责任进行细化、具体的划分,保证管理责任与责任人匹配,保证餐饮安全问题必有人处理,彻底根断餐饮安全责任人存在的侥幸心理。近年来国家推行责任人约谈制度,对于餐饮安全监管评估体系的建立和完善将起到一定的促进作用。
3.2 探索创新动态监管机制
3.2.1 积极建构沟通协作机制
要做好食品安全监管工作,就必须三位一体地对食品安全进行把关,这样才能从根处做到食品安全。目前,我国的食品安全工作明显没有做到以上要求,与餐饮食品安全监管相关的工商、卫生、防疫等相关部门很难一起对食品安全进行协调,因此落实协调机制也无从谈起,更不用说健全和完善。同时,由于管理部门各自职责不同,信息达不到共享,导致无法形成食品安全的监督合力。
此外,我国的食品监管工作仍存在管理力度不够、效果差等实际情况。目前,我国政府对社会餐饮行业监管力度还不够,与其他国家相比资金的投入还相对较少,食品安全监管人员明显不足,监管的手段也相对单一。因此,在食品安全监管上出现的漏洞比较多,也影响了监管工作的效果。
3.2.2 坚定实施分级监管机制及社会参与机制
近些年我国餐饮行业迅速发展,但是由于各地发展水平不同,也出现了餐饮行业区域差异性问题。因此要根据我们国家的基本国情实施分级监管机制,推行分类监管制度与诚信制度,并使它们有机结合,有助于餐饮行业的自我约束、自我提高。同时还要充分利用社会资源,加大餐饮安全监管力量,提高广大人民群众对食品安全的认识,并使广大人民群众积极参与到食品安全的监督工作中,形成一种人人对餐饮安全有责的气氛。坚定实施分级监管机制及社会参与机制,把政策落到实处,做到我国餐饮的真正安全,餐饮安全管理人员必须负起责任。
4 总结
食品安全关乎千家万户,保证食品安全不仅是国家的责任,也是我们每个人义不容辞的责任。当今世界食品安全事件并不少见,也得到了各国的重视,我国食品安全部门也加大了食品安全的检查力度,发现质量安全问题绝不手软,对社会上一些危害极大的食品事故企业,不仅仅对相关责任人依法追究刑事责任,同时也对企业加大惩罚力度。因此,近年来由于国家的高压检查,食品安全事件的发生频率得到了有效控制。同时也呼吁我们每个公民都要积极的对食品安全问题进行监督。
参考文献:
(1)徐景和。积极推动餐饮安全监管机制创新[J]。中国食品药品监管,2011(08):16-18.
(2)边振甲。科学探索餐饮安全监管新思路[J]。行政管理改革,2011(09):27-30.
篇4
安全预算是各类企事业单位为保护信息资产,保证自身可持续发展而投入的资金,是一种预防行为。安全预算多少合适,是不是投入得太多了?虽然安全问题越来越受到重视,但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因:一是预算不足;二是预算不到位。
在国外,安全投入占企业基础建设投入的5%~20%,这人比例在中国的企事业中却很少超过2%。从风险的角度看,就是要平衡成本与风险之间的关系,用一百万美金保护三十万的资产,显然是不可接受的,但是如果资产的价值超过了一千万美金,产生的效益就显而易见,目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来,并没有发生重大的信息安全事件,年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件,那就成了预算部门的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。由此可以看出,我国整体信息化建设,安全预算不足。
一个单位在安全方面投入了很多,但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论,很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素,缺乏系统的、科学的管理体系支持,都是导致这种结果产生的原因。
二、 科学制定安全预算
信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。说安全预算难做,一是因为信息安全涉及到很多方面的问题,例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理,应该关注以下几个方面:(1)是否“平衡”了成本与风险的关系;(2)是否真正用于降低或者消除信息安全风险,而不是引入了新的不可接受风险;(3)被关注的风险是否具有较高的优先等级。
信息安全风险评估恰恰解决了以上问题,通过制定科学的风险评估方法、程序,对那些起到关键作用的信息和信息资产进行评估,得出面临的风险,然后针对不同风险制定相应的处理计划,提出所需要的资源,从而利用风险评估辅助安全预算的制定。
三、 风险评估过程
篇5
1. 概述
随着社会进步、城市规模不断扩大、人口密度迅速增加,交通拥堵日趋严重已成为制约城市经济发展的一大障碍。由于城市轨道交通具有运量大、安全正点、快捷舒适及污染小等特点,建立以城市轨道交通为主的城市交通系统是解决城市交通拥堵问题的重要途径。人们对于城市轨道交通的要求越来越高,如何实现列车安全、快速、高效的运行是目前轨道交通领域亟待解决的根本性问题,作为保证行车安全、提高运营效率的轨道交通信号系统在提高运输效率、保证行车安全及旅客舒适度等方面具有决定性作用。
轨道交通信号系统是运用技术手段保证行车安全。它包括车站信号控制系统(车站联锁系统)和区间信号系统以及机车信号系统几个部分。信号系统的主要功能是保证行车安全、提高运营效率。信号系统虽然在工程投资中并不占很高的比重,但是由于信号系统担任着指挥列车安全运行的任务,关系到成千上万乘客的生命和财产安全,为此,需要专门考虑在系统出现故障,或操作人员不慎进行错误操作的情况下,系统仍能最大限度地维护乘客安全。目前无论是国产轨道交通信号系统还是国外设备国产化的推广应用所遇到的共同问题就是:国内开发的轨道交通信号系统缺乏权威的安全认证机构进行认证。而国际通行的方法都要求有安全认证这一步,这样国内开发的信号系统就难以参加相关项目的招投标。通过安全评估可以系统地从计划、设计、制造、运行等全过程中考虑信号系统的安全技术和安全管理问题,发现系统开发过程中固有的或潜在的危险因素,搞清引起系统灾害的工程技术现状,论证由设计、工艺、材料和设备更新等方面的技术措施的合理性学习。研究国际安全标准和相关的安全评估和认证体系,并结合中国轨道交通发展的实际情况建立轨道交通信号系统的安全评估和认证体系势在必行!
2. 相关的国际标准
世界发达国家的城市轨道交通系统已经有了百余年的发展历史,他们不断总结经验教训,完善管理,已经形成了一整套科学的安全评估、认证、管理体系,制定了一系列切实可行的安全评估的技术标准。
IEC61508是国际电子电工委员会(IEC)制定的《电气/电子/可编程电子安全相关系统的功能安全》国际标准,是进行轨道交通安全评估和论证重要的参考标准。
在铁路运输领域里,人们对安全相关系统的研究主要集中于铁路信号控制系统中,首先于1963-1965年在日本由信号保安协会开展起来,所进行的研究是以“电子技术信号设备的研究”为主体展开的,提出了相应的报告。
国际铁路联盟研究实验所(ORE)A118课题在1969年至1977年期间共出版了13个报告和2个技术文件,系统地考证了“电子技术在铁路信号系统中的应用”, A155课题在1982年至1988年期间发表了“在铁路信号设备中电子元器件的应用”报告,在A155课题的基础上,1990年1月,国际铁路联盟(UIC)了738R规程,给出了安全信息的处理和传输的一系列建议。
欧洲国家在宣传和介绍IEC61508国际标准的同时,以IEC61508国际标准为基础,吸收该标准的精髓,制订行业标准。欧洲电气化标准委员会(CENELEC)下属SC9XA委员会,制定了以计算机控制的信号系统作为对象的铁道信号标准,它包括以下4个部分。
(1) EN-50126铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明。
(2) EN-50129 铁路应用:安全相关电子系统。
(3) EN-50128 铁路应用:铁路控制和防护系统的软件。
(4) EN-50159.1铁路应用:通信、信号和处理系统。
它们的相互关系和涉及到的具体信号领域见图2-1。
2.1 IEC61508标准
IEC61508国际标准规范了电气/电子/可编程电子安全相关系统软硬件生存周期的各个阶段的任务和目标,提供一个制定安全需求规范的方法。它由7个部分组成:
第1部分 总的要求
第2部分 电气/电子/可编程电子系统的需求
第3部分 软件需求
第4部分 定义和缩略语
第5部分 决定安全完整性级别的方法实例
第6部分 应用IEC61508-2和IEC61508-3指南
第7部分 技术和方法总论
其主要目标:
1) 对所有的包括软、硬件在内的安全相关系统的元器件生命周期范围提供一个安全监督的系统方法。
2) 提供一个确定安全相关系统安全功能要求的方法。
3) 建立一个基础标准,使其可直接应用于所有工业领域,同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等)。
4) 让使用者和维护者放心使用以计算机为基础的技术。
5) 建立一个概念统一、协调一致的标准。
在IEC61508中有个重要的概念:安全生命周期。安全生命周期是指从方案的确定阶段开始到所有的电气/电子/可编程电子安全相关系统、其它技术的安全相关系统、外部风险降低设备不再可用时为止,这个时间周期内发生为实现安全相关系统所必需的活动。图2-2是IEC61508描述的系统安全生命周期流程图。
2.2 EN标准
2.2.1 EN50126
该标准定义了系统的RAMS(reliability、availability、maintainability和safety),即可靠性、可用性、可维护性和安全性,并且规定了安全生命周期内各个阶段对RAMS的管理和要求。但是在该标准中,未定义RAMS的具体的定量目标。此处的生命周期和IEC61508中安全生命周期是一个概念。
RAMS作为系统服务质量衡量的一个重要特征,是在整个系统安全生命周期内的各个阶段通过设计理念、技术方法而得到的。为了达到规定的RAMS,必须针对前面的RAMS影响因素,在整个系统的生命周期内有效控制RAMS的影响因素,即系统的随机故障和系统故障。EN50126要求在整个安全生命周期进行RAMS管理,针对每个阶段给出应需要完成的RAMS任务,同时给出相关的具体文档和要求。
2.2.2 EN50128
由于在信号系统中采用计算机(包括微机、单片机)越来越广泛,由软件来承担安全性需求的比重越来越大,因此软件安全性问题变得更加突出。为此EN50128针对软件的安全保证提出了相关的规范和设计标准。在该标准中,对铁路控制和防护系统的软件进行了安全完善度等级的划分,针对不同的安全要求制订了相应的标准,按不同等级对整个软件开发、检查、评估、检测过程包括对软件需求规格书、测试规格书、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提出相应的程序与规范的要求。
2.2.3 EN50129
这个标准定义了为了保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件。这些条件包括:
1) 质量管理措施
2) 安全管理措施
3) 功能和技术安全措施
4) 安全接受和论证
作为一个安全相关系统要作到系统的安全能够得到接受和论证,必须经过前三个步骤。 EN 50129就是针对一个安全事例来指导系统研究开发人员在整个系统
研制开发生命周期内所要完成的质量管理、安全管理和相关的技术安全措施的实施。对于安全管理,引入IEC61508提出的安全生命周期概念,就是说对于安全相关系统的安全部分,在设计时按照该步骤进行设计,并且需要进行全程的安全评估和验证,目的是进一步减少和安全相关的人为失误,进而减少系统故障风险。图2-3将系统各个层次的开发和评估论证对应起来,描述的是“V”字型系统安全生命周期。
2.2.4 EN50159.1EN-50159.1
铁路应用:通信、信号和过程控制系统在铁路中应用第一部分:封闭传输系统中安全相关通信。这个标准适用于采用封闭传输系统实现通信目的的安全相关系统。对安全相关设备和传输系统的通信接口信息传输提出安全要求。
3. 国外的安全评估体系
欧美国家开展轨道交通信号系统的安全研究比较早,目前已经形成了比较完善的安全评估体系,如英国CASS安全评估框架,德国TUV评估体系等,它们主要以EN铁路标准为基准,依托第三方评估机构,对已有线路和在建项目的信号系统进行安全性论证。下面以英国CASS安全评估框架为例进行详细说明。
3.1 英国CASS 安全评估框架
CASS是英国工商部(Department of Trade & Industry)和健康安全部门(Health & Safety Executive)制定的一个安全评估认证框架项目,为此还成立了CASS策划公司,它的任务和目标是为基于IEC61508标准的安全相关系统开发一个标准的认证框架。
在CASS框架中,评估员由权威部门考核和认证,并要求独立于运营商和系统制造商。评估员对认证机构负责,认证机构对客户负责。政府相关监督部门由具有安全认证经验的专家组成,CASS也有自己的技术委员会,确保满足技术发展的需要,CASS相关的标准和规范会根据IEC61508的修订进行修改。在英国UKAS是唯一授权安全论证
的机构,进行CASS框架认证的机构都要向UKAS申请授权。系统制造商再向这些UKAS承认认证机构申请评估。CASS公司会对评估员进行考核,监督评估过程[12]。
3.2 英国铁路工程安全评估原则和方法
目前英国在铁路安全管理中普遍应用ALARP原则(As Low As Reasonable Practicable)[13],它是将安全相关系统的风险分成以下三类:
1) 足够大的风险,我们不能接收;
2) 足够小的风险,我们可以忽略;
3) 介于以上两种风险之间的风险,我们必须采取适当的、可行的、合理成本下的方法将其降到可以接收的最低程度。
对于第三种风险,我们采用ALARP(As Low As Reasonably Practicable)原则进行风险的减低,该原则的含义是采用尽可能低的成本、合理的、可行的方法进行风险降低。我们将以上三种风险在图3-2中进行描述。
在图3-2的最上层,即高于不可接收风险等级,该部分的风险被认为是不可接收的风险,在任何情况下都不能,必须拒绝;
在不可接收风险等级以下,我们采用ALARP原则进行风险的减低,在该阶段,必须对风险减低而花费的代价进行评估,在风险和代价
之间进行平衡。在可接收区域边缘以下,该区域的风险有些微不足道,可以忽略。我们不需要采用任何方式或方法去减低它,当然我们必须将该区域的风险始终保持在该等级水平上。
在Railtrack铁路咨询公司出版的工程安全管理黄页[13]中把安全评估过程分为两部分:安全审核和安全认证。
安全审核是要检查工程的安全管理是否完善,能否和安全计划保持一致。评估员应该检查一下安全计划里说明的标准和步骤是不是被正确的执行了,看一下工程行为和安全计划是不是具有继承性。安全审核最后要有一个安全审核报告,这个报告应该包括:对项目和安全计划一致性的评价、认为安全计划可行的评价和计划相符或是有所改进的建议。
安全认证是一个判断和系统相关的风险扩大或者减小到一定等级的过程。系统的安全要求是安全认证的核心。评估员应该根据产品制造商提供的安全事例(Safety Case)回顾一下安全需求规范以评价它对控制系统风险是不是已经足够,以及系统能不能满足安全需求规范。进行安全认证的目的就是收集足够的信息来证明系统的风险是可以接受的。
4.我国轨道交通信号系统安全评估与认证体系框架设想
我们设想中的轨道交通安全评估与认证体系参照的是CASS框架,由轨道交通主管部门牵头,组织专家组制定安全认证标准和方法,相关单位可以据此申请成为第三方认证机构,聘请评估员对于安全相关系统进行安全认证,包括安全认证机构、安全标准、安全认证方法以及相关各方(政府、设备生产企业、运营单位、认证机构)之间的制约关系、权利和义务等等。如图4-1所示。
可以概括为以下四个层次:
第一层次:在体系建立初期,政府主管单位集中安全、质量、科技、生产等管理部门成立轨道交通信号系统安全评估体系领导小组;
第二层次:安全评估体系领导小组组织权威专家和相关技术人员成立权威机构,进行安全评估相应标准和规范的制订工作;
第三层次:进行安全评估者的资格论证,考核独立的个人或机构进行安全评估的资格,这些个人或机构应独立与轨道交通信号系统的研制开发、生产、销售等业务;可以批准多个评估机构,但每年论证机构必须对这些评估机构或个人进行资格审查或评估;
第四层次:对参与信号系统设计、生产、维护、测试的主要人员进行安全设计、安全管理、安全测试和安全生产方面的培训和评估,保证在整个体系中,安全意识得到整体体现。
图4-1 我国轨道交通安全评估与认证体系设想
5.结论
借鉴国外先进方法建立我国轨道交通信号系统安全评估与认证体系具有重大意义,可以迅速缩小和国际先进水平的差距,同时轨道交通信号系统的研制开发和应用也可以逐步走向规范化、系统化,切实保障轨道交通的运行安全。
参 考 文 献
【1】. CENELEC prEN50129,Railway Applications:Safety related electronic system for signaling,1999
【2】. CENELEC prEN50159-1,Railway Applications:,Signaling and processing systems, Part 1:Safety related Communication in closed transmission systems,2001
